Wolfwood's Crowd blog

Kritika il’ hvala hrvatskog (IT) košmara

,

Od kuda je iscurio Jedinstveni registar?

.hr webdogađajisigurnost

Ako previše vjerujete onome što vidite u filmovima onda krađu Jedinstvenog registra branitelja sigurno zamišljate na način da su vješti hackeri, pod plaštom noći (jer takve se stvari ne rade po danu), provalili na poslužitelj Ministarstva koristeći, samo njima znane, tajanstvene i moćne programe.


Ako imate malo čvršći dodir s realnošću onda zamišljate polu izgrebani CD koji je već prošao mnoge ruke na kojem se vidi i jedna mrlja koja je najvjerojatnije nastala jer je netko mažnjavao svoju porciju ćevapa pa je jedan ispao baš na CD.


Sigurnost o kojoj se priča (negdje sam pročitao da su samo tri čovjeka imali pristup registru) je samo bajka za malu djecu. To potvrđuju i autori stranice na kojoj je objavljen registar. Kako stranica nije dostupna donosim citat s web stranice Radio 101...


Računalna sigurnost Ministarstva je sramotno niska i apeliramo da se što je prije moguće pokrenu postupci kako bi se unaprijedile sigurnonosne procedure budući da je pristup ovom registru bio razočaravajuće lagan, a sam registar je toliko loše izveden i nadamo se da nije slučajno to neko platio budući da je registar izveden na razini domaće zadaće srednjoškolca informatičkog smjera (sram vas može biti).

Svi spominju kako su podaci iscurili iz Ministarstva obrane RH, ali oni koji su objavili registar nigdje ne navode da je to bilo baš to ministarstvo. Čudi me kako nitko nije zavirio u Pravilnik o jedinstvenom registru koji nam otkriva da Jedinstveni registar vodi Ministarstvo obitelji, branitelja i međugeneracijske solidarnosti (u daljem tekstu Ministarstvo). Oni koji istražuju gdje curi trebali bi pogledati u tom smjeru. Sad je već malo jasnija nervoza Jadranke Kosor i njezina potreba da što prije ukaže na krivca jer to je ministarstvo kojeg je onda donedavno vodila.


Navod o lošoj izvedbi registra me ne čudi. Fušerske izvedbe projekata koje plaćaju porezni obveznici su više pravilo nego izuzetak. A ne bih se začudio da je registar izradio neki ročnik za vrijeme svoje službe te da mu je to bio prvi kompletni program kojeg je sam izradio. Ako su taj posao nastavili ročnici koji su došli poslije njega, mogućnost da je baza iscurjela je dosta velika. Sama informacija o tome kako je izveden registar puno toga bi otkrila.


Moguće je i da je baza dobila noge prije nego što je registar počelo voditi Jadrankino ministarstvo. Prije par godina sam vidio da lokalni odsjek Ministarstva obrane popis branitelja vodi u spartanskoj Clipper aplikaciji s podacima u običnim .dbf datotekama, na računalu bez ikakve zaštite prava pristupa. Budući da su se baš u toj situaciji srušili Windowsi doznao sam da im to računalo održava lokalne informatičke tvrtka čije djelatnici sigurno nisu prošli sigurnosnu provjeru. Mogućnost da je netko od njih u takvoj prilici napravio backup, i slučajno koju kopiju viša, vrlo je velika.


Priča o tome da godinama unutar MORH-a i Ministarstva branitelja kruži CD s podacima mi djeluje jako vjerojatna. Možda se na kraju otkrije da je pristup podacima iz Jedinstvenog registra imao puno, puno veći broj ljudi nego što se to nagađa. Tako da se na kraju nećemo čuditi objavljivanju registra nego ćemo se pitati kako to da nije objavljen već odavno prije.

Komentari

8. travnja 2010. 08:26

Zaboravio si spomenuti da hakeri moraju biti u jako dobroj fizičkoj kondiciji kako bi se mogli spustiti užetom sa stropa i obaviti kopiranje viseći iznad kompjutera. A da ne govorim da moraju biti u stanju zubima zaklati štakora. ;)

8. travnja 2010. 08:42

Jedna bitna stvar: koliko sam shvatio, to nije Jedinstveni registar branitelja kojeg vodi Ministarstvo obitelji, istraživanja ruda i gubljenja vremena -- to je jedan od dokumenata koji je korišten za sastavljanje registra, a koji je došao iz MORH-a.

Osobno mislim da je cijela ta pomama oko registra glupa, i da je Marko bezveze uhapšen, jer: a) to nije službeni registar, te b) u njemu nema osobnih identifikacijskih podataka (pod istim imenom može se naći više osoba, bez ikakve oznake tko je tko).

8. travnja 2010. 13:38

Marko je očito poslužio kao Pedro koji služi da se fokus makne od pravog krivca.

13. travnja 2010. 20:51

Koliko sam se gluposti naslušao na račun "hakeriranja" IT-a Morha! I sve je gomila gluposti.... Ako odvojite profesionalni sastav od pričuve onda bi trebali znati da Personalne službe MORH-a i OSRH vode djelatni sastav a uredi za obranu pričuvni sastav na onim famoznim žutima kartonima s podacima upisanim suhom olovkom pa sami zaključite di je "mućka" Gluposti: 1. ITS morha nesiguran....probaj haknut pa se uvjeri 2. DBF baza - datoteke u MORH-u? hahahahaha 3. Pišeš a ne razmišljaš ili neznaš koliko je kompliciran vojni HR

13. travnja 2010. 20:54

Marko? A da plati dugove pa da se onda igra države..... Mislim državi a i ex poslovnim partnerima.... Čujem da će otvorit stranicu za donaciju

13. travnja 2010. 21:16

@ujo

Eh...ako smatraš da su hackeri izvana jedina opasnost za sigurnost IT sustava onda imaš krive pretpostavke o IT sigurnosti?! Ljudski faktor je najveća opasnost za sigurnost, najslabija karika. Kad bih trebao provaliti u neki sustav onda bi se prvo poslužio socijalnim inženjeringom.

Gleda Marka i ostalih poduzetnika koji su ne svojom krivnjom propali. Znaš li ti kako nastaju dugovi prema državi na osnovi nenaplaćenih, a izdanih računa?